...
Kartei Details
| Karten | 64 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Technik |
| Stufe | Andere |
| Erstellt / Aktualisiert | 06.07.2021 / 23.11.2021 |
| Weblink |
https://card2brain.ch/box/20210706_infsecgwerderoldexams
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20210706_infsecgwerderoldexams/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Nennen Sie drei drei gute Beispiele (keine Wiederholungen) für die Risikostrategie “Risiko-
transfer”
• Ein Risiko versichern bei einer Versicherung.
• Hochrisiko-Projekte in einer eigenen, separaten Firma ausführen lassen.
• Gewisse Handlungen an einen Partner outsourcen.
• Gewisse Risiken an den Kunden weitergeben (z.B. durch Haftungsausschluss)
Eine Firma namens ACME Limited verarbeitet Impfdaten von Spitälern und Spitalverbunden
in mehreren Ländern (USA, Deutschland, Grossbritannien, Kanada). Sie hat einen Cluster
mit einem Loadbalancer und drei Webservern, die Impfdaten auf einer MS-SQL Datenbank
abspeichern und abrufen. Der Webserver ist ein NGINX-Server und hat Squid als Reverse-
Proxy vor sich. Welches sind die zwei grössten Assets dieser Firma?
Reputation (muss vorhanden sein, sonst wäre die Lösung nicht soweit verbreitet beziehungsweise
würden Kunden schnell abwandern)
(Impf-)Daten (Hohe Klagekosten jenseits der Kosten von Hard- und Software könnten
die Folge sein. Speziell weil Medizinaldaten typischerweise besonders vom Gesetzgeber
besonders geschützt sind).
Erklären Sie die Begriffe “Vertraulichkeit” und “Vertrautheit” sowie deren Unterschied. Nen-
nen sie jeweils ein typisches Beispiel.
Das sind zwei typische Arbeitsmethoden des Social-Engineerings:
• Vertrautheit
Nähe zu jemandem über eine gemeinsame Begebenheit, ein gemeinsames Hobby oder
ein gemeinsames Gefühl (kann ein Witz sein) herstellen.
• Vertraulichkeit
Jemanden davon abhalten sich mit Drittpersonen abzusprechen, weil eine Information
vertraulich ist (z.B. börsenrelevant).
Wie heisst die typische Arbeitsweise des Social-Engineering (Verwenden Sie die Begriffe aus
dem Unterricht), wenn folgende Situation gegeben ist:
Eine Person verlangt am Telefon, dass Sie ihr eine vertrauliche Auskunft geben, weil
sie angeblich (was nicht stimmt) der/die Sekretär/in vom Direktor ist.
• Impersonation
• eventuell (bei entsprechender Begründung) “Authority” (ist etwas gesucht aber möglich)
Nennen Sie zwei unterschiedliche Attacken, bei denen die Ressource Arbeitsspeicher angegrif-
fen wird.
• A Billion Laughter
• XML External entity (wenn ein grosses File (z.B. Swapfile) eingebunden wird).
• Quine-Zipfile wenn der entpacker auf einem RAM-Drive oder im Speicher arbeitet.
Worin unterscheiden sich eine IDS und ein IPS?
Eine IPS (Intrusion Prevention System) soll verdächtige Aktionen (IoA oder IoC) auf einem
produktiven System blockieren. Ein IDS (Intrusion Detection System) soll verdächtige Ak-
tivitäten im sicheren Umfeld aufdecken.
Warum sollte beim Speichern eines Passwort immer ein Hash mit Salt verwendet werden
(2P)? Was ist die Funktion des Salts (1P)? Muss der Salt geheim gehalten werden (1P)?
Wann ändert der Salt (1P)?
• Weil es den Aufwand beim knacken der Passworte massiv erhöht (2P).
• Es reduziert/verunmöglicht den Einsatz von Rainbow-Tables und sorgt dafür, dass
gleiche Passworte nicht mehr gleich aussehen.
• Nein – er ist im Hash in Klartext enthalten.
• Bei jedem Passwort.
Erklären Sie die Funktionen von VA und RA bei einer PKI (je 2 Pkt). Was heisst VA und RA
überhaupt (je 1 Pkt für eine vollständige und richtige Bezeichnung). Welcher Schlüssel wird
bei der VA eingesetzt und wer hat ihn typischerweise unterschrieben?
• Registration Authority
Überprüft ob eine Entität berechtigt ist einen CSR zur Unterschrift zu übergeben (z.B.
wurde der geforderte Geldbetrag überwiesen oder hat die Entität die Kontrolle über
die zu signierende Domäne).
• Validation Authority
Sorgt dafür, dass zurückgezogene Zertifikate als solche erkannt werden können. Unter-
schreibt mit einem eigenen Schlüssel die CRL oder OCSP-Anfragen, damit Entitäten
belegen können, dass das Zertifikat noch nicht revoziert ist. Der Schlüssel der VA wird
typischerweise von der CA (mit ihrem privaten Schlüssel natürlich) unterschrieben. Es
wird zum beglaubigen niemals der private Schlüssel der CA verwendet.
Was sind die Hauptunterschiede zwischen einem CSR und einem Zertifikat (nennen Sie zwei
massgebliche)?
Ein Zertifikat entsteht durch Unterschrift eines CSR durch eine CA.
• Ein CSR ist nicht von einer CA unterschrieben (ein Zertifikat schon).
• Ein Zertifikat beinhaltet zusätzliche Informationen (z.B. den Ort der RA), welche im
CSR nicht vorhanden sind (falls doch werden Sie ersetzt; Siehe nächstes Beispiel).
• Ein CSR hat typischerweise kein Gültigkeitsbereich (dieser wird durch eine CA beim
überschreiben hinzugefügt oder ersetzt).
• Ein CSR hat typischerweise keine Einschränkungen. Diese werden typischerweise erst
bei Unterschrift durch die CA hinzugefügt.
Erklären Sie, was im folgenden Kommando gemacht wird (2P):
openssl x509 −req −in file1 −CA file2 −CAkey file3 − CAcreateserial −out file4 −days 500 −sha256
Was befindet sich in den Files “file1”, “file2” und “file4” (je 1P)?
Wofür wird SHA256 im vorliegenden Beispiel verwendet (1P)?
Es wird ein CSR (file1) unterschrieben mit dem CA Zertifikat (file2). Das neue, unter-
schriebene Zertifikat wird in File4 abgelegt. Der sha256-Hash wird verwendet um das Zer-
tifikat zu unterschreiben.
Nennen Sie 3 typische Funktionen einer Smartcard, ausser verschlüsseln, entschlüsseln und
signieren von Datenblöcken?
• Sicherer Zufallszahlengenerator
• Schlüsselgenerator für asymmetrische Schlüssel
• Sicherer Schlüsselspeicher (nicht zugänglich für Anwendungen ausserhalb der Smart-
card)
• Öffentlicher Lesespeicher (für die Zertifikate)
Welche zwei Eigenschaften verschlechtern sich typischerweise, wenn Sie bei einer App oder
einem Prozess die Sicherheit erhöhen (Tipp: Denken Sie an ein Dreieck)?
• Benutzbarkeit/Usability
• Funktionalität/Functionality
Nicht gewertet: “Performance” (Sicherheit muss nicht typischerweise mit einer Performance-
Degradation einhergehen; Kann bei lausigen implementation so sein, ist aber nicht typisch).
Nennen Sie zwei typische Formen ausser “Jails”, die bei einer Isolation (z.B. Prozess oder
Dateisystem)zum Einsatz kommen.
• Sandboxes
• Jails
• Container
• VMs
Ein Kollege von Ihnen schlägt vor um Heap-basierte Overflow-Attacken zu begegnen bei den
Rechnern (oder dem OS) das NX-Flag zu setzen. ist das Ihrer Meinung nach eine gute Lösung
und weshalb (2P). Was wäre eine Standard-Lösung für diese Form von Angriff? (1P)
Falls es sich um einen reinen Daten-Heap handelt, wäre es eine Möglichkeit. Bei gemischten
oder Code-Heaps aber kann das NX-Bit nicht eingesetzt werden. Die Standardlösung gegen
eine Heap-basierte Overflowattacke wäre ASLR (Address Space Layout Randomization).
Erklären Sie möglichst genau, was Canaries prüfen, wie sie Aussehen können und welche Art
von Angriffen damit detektiert werden können
Bei Canaries werden zwischen einzelnen Elementen auf dem Stack (oder allgemein im Spe-
icher) Prüfbytes mit einem wechselnden Wert eingefügt. Dieser Wert wird kontinuierlich
durch die Applikation oder das OS geprüft. Wenn der Wert dieser Prüfbits sich ändert liegt
typischerweise ein Buffer-Overflow auf dem Stack vor.
Sie senden Pakete an mehrere DNS-Server mit gefälschter Absenderadresse. Die Antwort an
den Zielrechner ist wesentlich grösser als die Anfrage. Ihr Kollege ist sich jetzt nicht sicher,
ob er diesen Angriff als Spoofing-, Reflektor oder DDoS-Attacke einordnen soll. Erklären Sie
weshalb jede einzelne dieser Attacken zutreffen oder nicht zutreffen könnte.
Es könnte als eine Spoofing-Attacke ausgelegt werden (atypisch aber möglich), weil die
Absender-Adresse gefälscht wird, was wiederum typisch für Spoofing ist.
Eine Reflektor-Attacke liegt auf jeden Fall vor. Der Sender greift sein Ziel über einen Dritten
an. Ausserdem ist die zu erwartende Datenmenge an den Dritten wesentlich höher, als die
durch den Sender versendete Information (Amplifier Effekt).
Eine DDoS-Attacke ist ebenfalls richtig, weil der Sender sein Ziel über mehrere DNS-Server
angreift. Bedingung ist allerdings, dass das Ziel ist die Netzwerkzuleitungen der Zielsysteme
zu fluten.
Welche Kriterien sind bei einem Protokoll besonders wünschenswert, damit es für eine Re-
flektorattacke verwendet werden kann. Nennen Sie zwei.
• Verbindungslos (z.B. UDP)
• Antwort grösser als Anfrage (Amplifier-Effekt)
• Evtl. kein Loging auf dem reflektierenden System für die verwendete Transaktion (er-
schwert auffinden des Ursprungssystems)
Erklären Sie eine XML External Entity Attacke (XXE)
Ein Attribut (z.B. eine Request-ID) wird als External Entity signalisiert und der Server
inkludiert dann beim parsing ein File auf seinem System als ID und sendet dieses
zurück.
Nennen Sie drei typische Berufsbilder der Cyber-Sicherheit ausser dem CISO
• Datenschutzbeauftragter
• Incident-Manager
• Forensiker
• Fraud-Analyst
Erklären Sie die Funktion des CISO. Was ist seine primäre Aufgabe in der Firma?
Der CISO (Chief Information Security Officer) identifiziert typischerweise kritische Assets
einer Firma und sorgt für einen adäquaten Schutz innerhalb der Firma. Er erstellt Policies,
aufgrund derer die Assets geschützt werden.
Welche Stealth-Technologien von Malware kennen Sie. Nennen Sie 3 Kategorien. Erklären Sie
möglichst knapp deren Funktionsweise.
• Encoder und Laufzeitpacker
Schützt verdächtigen Code auf der Disk und beim unmittelbaren Laden vor einer
Analyse durch Verschleierung.
• Polymorphie
Schützt verdächtigen Code auf der Disk und beim unmittelbaren Laden vor einer
Analyse durch Verschlüsselung (stark artverwandt mit den Laufzeitencodern).
• Stealth-technologien
Schütz vor Entdeckung auf der Disk oder im Speicher, durch Speicherfaltung oder
durch capturing von (für die Malware) gefährliche Leserequests. Wird typischerweise
bei Bootsektor-Viren und bei einfachen Linkviren eingesetzt. Heute kaum relevant.
• Payload download
Herunterladen von Schadcode (oder Fragmenten) via Internet. Umgeht so die Detek-
tion aufgrund von diskbasierten Mechanismen.
Browser-Toolbars werden heute häufig zu den PUAs gezählt. Erklären Sie welche potentiellen
Funktionen diese Klassifizierung verursachen. Nennen Sie mindestens 2
• Sie können (und werden häufig) als Spyware missbraucht (senden Daten an zentrale
Instanzen).
• Manche verwenden Rechenressourcen für Ihre eigenen Zwecke (z.B. als Bitcoin-Mining-
Instanz).
• Sie sind häufig schwierig zu entfernen.
• Sie sind typischerweise ein Produktplacement (Sie sind typischerweise nicht willentlich
installiert, sondern als “Beigabe” mitgeliefert).
Welche Detektionstypen bei Anti-Malware-Programmen gibt es. Nennen Sie drei.
• Signaturbasiert
• Verhaltensbasiert
• Statistikbasiert
Wo handelt es sich um Daten, die für die DSGVO relevant sind?
Nennen Sie drei Rechte, die ein Urheber eines Werkes hat.
• Werkexemplare wie Druckerzeugnisse, Ton-, Tonbild- oder Datenträger herzustellen
• Werkexemplare anzubieten, zu veräussern oder sonst wie zu verbreiten
• das Werk direkt oder mit irgendwelchen Mitteln vorzutragen, aufzuführen, vorzufüh-
ren, anderswo wahrnehmbar oder so zugänglich zu machen, dass Personen von Orten
und zu Zeiten ihrer Wahl dazu Zugang haben
• das Werk durch Radio, Fernsehen oder ähnliche Einrichtungen, auch über Leitungen,
zu senden
• gesendete Werke mit Hilfe von technischen Einrichtungen, deren Träger nicht das ur-
sprüngliche Sendeunternehmen ist, insbesondere auch über Leitungen, weiterzusenden
• zugänglich gemachte, gesendete und weitergesendete Werke wahrnehmbar zu machen
Erklären Sie den Unterschied zwischen Integrität (Integrity) und Vertraulichkeit (Confiden-
tiality). Führen Sie insbesondere aus, an welchem Zustand die Integrität gemessen wird, und
warum die Gewährleistung von Vertraulichkeit nicht automatisch die Integrität zur Folge hat.
Vertraulichkeit: Nur befugte Entitäten erhalten Zugriff auf die Daten.
Integrität: Gewährleistet, dass Daten, Programme oder Funktionen in unveränderter Form
vorliegen. Die Integrität wird immer gemessen an einem Sollzustand.
Vertraulichkeit gewährleistet nicht Integrität, da Daten beispielsweise auch durch fehlerhafte
Programme (vom Sollzustand her gesehen) modifiziert werden können.
Nenne Sie zwei mögliche Schutzziele (Security Goals), die nicht zu den CIA Schutzzielen
gehören und sich gegenseitig ausschliessen (3 Pkt). Machen Sie zu jedem Schutzziel ein
sinnvolles Beispiel (4 Pkt).
Viele Möglich. Beispiel:
• Anonymität/Pseudonymität
Beispiel: Quellenschutz bei Wikileaks oder bei Enthüllungsjournalismus
• Zurechenbarkeit
Beispiel: Jede Art von Vertragsabschluss
Bepunktung: Je gültiges Schutzziel 1 Pkt, für Ausschlusskriterium 1 Pkt und je gutes Beispiel
2 Pkt,
Keine Punkte wenn nur ein Schutzziel genannt wurde, ein Schutzziel zu den CIA-Schutzzielen
gehört oder wenn sie sich nicht ausschliessen.
Bitte benennen Sie drei objektive Kriterien, an denen der Wert eines Aktivposten (Assets)
bemessen werden kann. Machen Sie zu jedem Kriterium ein Beispiel das typisch ist.
• Alter (Beispiel: Wein)
• Zeitwert (kann von anderen Parametern als das Alter abhängen. Beispiel Auto: Kilo-
meterzahl)
• Wiederbeschaffungswert/Kurswert (Beispiel: Edelmetalle wie Gold)
• Lager- und Transport-Kosten (Beispiel: Kleinteile, wie Schrauben, deren Beschaffungs-
wert weit unter den Lagerkosten liegen)
Keine Punkte typischerweise für Ersetzbarkeit (womöglich noch argumentiert mit Mona-
Lisa). Ersetzbarkeit ist nicht messbar!
Machen Sie je drei Beispiele für typische Ursachen einer Bedrohung (Threat) und nennen Sie
jeweils ein typischer Effekt aus der Ursache. Stellen Sie sicher, dass Sie jeweils Kategorien und
nicht Beispiele nennen.
• Hochwasser ⇒ Wasser im Serverraum ⇒ Funktionsausfall einer Dienstleistung
• Menschliches Versagen ⇒ Fehlbedienung ⇒ Datenverlust
• Sabotage ⇒ Malware ⇒ Datenzugriff nicht mehr gewährleistet
• Spionage ⇒ Informationspublikation ⇒ Verluste durch Reduktion des Vorsprunges
Keine Punkte wenn der Effekt nicht direkt eine Folge aus der Ursache ist.
Nennen Sie vier unterschiedliche Ziele, die bei AAA unter den Begriff “Accounting” fallen?
Beim Accounting geht es darum Informationen über die Ressourcenbenutzung
zu sammeln. Das kann mehrere Ziele haben.
• Kapazitätsplanung
• Trendanalysen
• Verrechnung
• Revisionsfähigkeit
Was ist der Unterschied zwischen Authorisation und Authentifikation?
Authorisation=Zuweisung von Rechten zu einer Authentifizierten Entität.
Authentifikation=Zweifelsfreie Feststellung der Identität einer Entität.
Aus welchem technischen(!) Grund könnte man zwei Unterschiedliche Zertifikate für Signatur
und Verschlüsselung benötigen?
Wenn die asymmetrischen Schlüssel nicht beliebig einsetzbar sind. Bei Signatur muss mit
dem Private-Key Verschlüsselt werden, bei eine Verschlüsselung muss mit einem Private-Key
entschlüsselt werden.
Welche im Stoff behandelte Technologie kommt zum Einsatz, wenn in einer Musikdatei un-
hörbar ein Wasserzeichen eingefügt wird, dass es eingeweiten erlaubt die Datei selbst nach
Modifikation (z.B. schneiden) eindeutig wiederzuerkennen?
Steganografie
openssl dgst − verify f1 − signature f2 f3
Überprüfen einer Dokumentunterschrift.
f3 ist das Dokument. f2 ist die abgesetzte Unterschrift f1 ist das Zertifikat des Unterschrei-
bers.
openssl s_client −connect blu : https
Es wird eine Terminalsession zum Rechner “blu” auf dem https-Port (443) aufgebaut.
Was ist OCSP (erklären Sie) und welche Entität stellt solche Dienstleistungen zur Verfügung?
OCSP ist ein Protokoll zum überprüfen, ob ein einzelnes Zertifikat vorzeitig zurückgezogen
wurde. Ein OCSP-Server wird typischerweise von einer VA innerhalb einer PKI zur Verfügung
gestellt. Wenn der Client den OCSP-Request macht und und in einer Transaktion mitliefert
spricht man von OCSP-Stapling
Erklären Sie, wie eine Passwortüberprüfung mit einem CR-Verfahren funktioniert [8P]? Welche
Information muss auf der Seite des Clients vorhanden sein, um die Prüfung zu bestehen (zählen
Sie alle benötigten Informationen auf)
Server sendet einen generierten, zufälligen Nonce/Challenge und eventuell einen Salt zum
Client. Client benötigt einen Passworthash mit dem angegebenen Hash. Normalerweise kann
er diesen (falls nicht vorhanden) aus dem Passwort verwenden. Client generiert Response
indem er eine definierte Hashfunktion auf Passworthash (gegebenenfalls mit Salt) und Nonce
anwendet und übermittelt das Ganze zurück. Der Server führt mit Passworthash und Nonce
dieselbe Operation aus und anerkannt das Passwort wenn die Ausgabe gleich dem erhaltenen
Paket ist.
Nennen Sie vier Gründe, weshalb ein Zertifikat (für sich alleine) nicht gültig sein könnte.
• Zertifikat ist nicht einsetzbar für den gewählten Verwendungszweck
• Das Zertifikat hat seine Lebensdauer überschritten.
• Das Zertifikat ist nicht für die benötige Entität ausgestellt.
• Einer der Signierer in der Zertifikats-Kette (z.B. CA) ist nicht mehr gültig oder wird
nicht vertraut.
• (Das Zertifikat ist nicht unterschrieben)
Sie legen ein grosses Wasserkraftwerk mit 7x24 Stunden Überwachung durch menschliches
Bedienungspersonal lahm, indem Sie die Firmware der diversen Steuerungen überschreiben
und das Kraftwerk in einem sinnlosen (oder gar Betriebs- oder Lebensgefährdenden) Zustand
bringen. Wie kann die Effektivität einer solchen Attacke weiter erhöht werden und wie nennt
man eine solche Vorgehensweise?
Zum Beispiel indem das Überwachungspersonal kommunikationstechnisch abgeschnitten
wird und so die Reaktionszeit beziehungsweise Erholungszeit zusätzlich erhöht wird. Im Bei-
spiel wurden die Telefonnetze gezielt überlastet, indem pausenlos das Kraftwerk angerufen
wurde und deshalb keine Anrufe nach draussen mehr möglich waren. Diese Vorgehensweise
nennt sich eine koordinierte (manchmal auch orchestrierte) Attacke.
Wie nennt man eine Infrastruktur, die als Sensor gebaut wird und speziell “Hacker” anziehen
soll (um beispielsweise Alarm zu schlagen)?
Honeypot oder Honeynet
